熱點推薦:
您现在的位置: 電腦知識網 >> 操作系統 >> Windows系統管理 >> 正文

WindowsVista審核功能監控文件訪問

2013-11-11 21:30:46  來源: Windows系統管理 

  審核功能就像Windows的晴雨表據此我們可以了解計算機的一舉一動並且可以根據這些信息來維護計算機系統的安全以及進行故障點排除在Vista中審核功能比以往更加強大本文將和大家一起探討其在Vista下的應用

  啟用審核的策略

  所謂的審核就是跟蹤啟用相應的審核功能後系統就會跟蹤並記錄事件的過程方便管理員查看利用審核功能我們不僅可以監視用戶在計算機上進行的操作還可以根據系統運行狀態對故障進行排除但是開啟了審核就會降低系統的性能因為系統為此需要耗費一部分資源用於記錄和存儲事件因此我們在啟用審核時要根據需要制訂審核策略

  作為管理員需要明確以下幾個方面需要對哪些內容進行審核;是否合理設置了審核策略;哪些用戶有權訪問日志;由誰了負責收集和歸檔日志;日志備份的相關工作如何進行;日志丟失後如何處理;日志保存和審查的周期;審查日志需要用到的工具和措施;在日志中發現安全問題後如何處理等只有這樣才能在審核好系統性能之間取得一個平衡

  配置審核策略

  審核是對具體事件的過程進行監視和記錄因此會將結果保存到系統的事件日志中當然除非開啟了相應的審核功能否則Windows Vista不會記錄安全日志開啟審核功能的方法是依次單擊開始控制面板系統和維護管理工具打開本地安全策略控制台然後在本地策略審核策略中找到相應的審核策略

  在Vista中可啟用的審核策略有項之多比如審核特權使用用來記錄用戶在系統操作過程中行使除登錄注銷和網絡之外的權限審核帳戶管理記錄用戶帳戶的創建刪除更改等事件審核進程跟蹤跟蹤並記錄進程的後台運行例如程序的激活handle句柄的復制和對文件管理資源的訪問等啟用各種審核策略的方法類似至於啟用什麼樣的審核策略要根據自己安全需要進行選擇(圖)

  

  

  例如要審核登錄事件只需雙擊打開該策略然後勾選審核包括事件的成功和失敗最後單擊即可這樣Windows Vista就可以開始審核本地所有用戶帳戶的登錄事件包括用戶成功登錄和登錄失敗這樣有利用發現系統是否被非法登錄並被入侵(圖)

  

  查看審核報告

  在啟用了審核策略後系統就會在系統的日志中記錄相關的事件如果要查看日志就需要通過事件查看器來進行查看依次單擊開始控制面板系統和維護管理工具打開事件查看器控制台Windows 日志下分別有應用程序安全安裝程序系統轉發事件等多個類別單擊不同類別可以在中間的窗格中查看到所有該類別的事件記錄雙擊某個事件記錄可以打開該記錄的詳細信息窗口用戶便可以了解該事件的來源和發生事件事件ID等

  右擊某一類的事件日志可以對其日志進行一些操作例如我們可以選擇將事件另存為來導出該類別的事件日志;選擇打開保存的日志用於導入已存在的事件日志;如果日志記錄太多為了釋放更多的空間我們可以選擇清除日志選項來清除所有記錄;而管理員需要在眾多的記錄中找到自己所需的信息可以借助篩選當前日志功能根據事件級別事件ID關鍵字用戶等信息進行篩選(圖)

  

  

  監控文件訪問

  文件監控在現實環境中非常實用比如管理員設置了一個共享文件夾但被人改得面目全非我們就可以通過文件夾監控來確定到底是哪些用戶對文件夾進行了操作然後進一步確定是哪個用戶做的需要說明的是文件或者文件夾的監控是基於NTFS文件系統所以分區格式必須是這種格式

  首先在本地安全策略中啟用審核對象訪問策略為了准確定位我們可以只對成功事件進行記錄然後定位到需要監控的文件夾右鍵點擊選擇屬性安全選項卡中單擊高級按鈕接著選擇審核選項卡單擊繼續按鈕在打開的窗口中單擊添加按鈕輸入要添加審核的用戶帳戶或用戶組的名稱然後在審核項目面板中勾選需要監控的操作包括創建文件/寫入數據刪除等如果要監控用戶的所有操作可以選擇完全控制最後單擊確定按鈕即可完成審核的設置(圖)

  

  這樣系統會將指定的事件記錄在系統日志中我們可以通過時間查看器Windows 日志安全中查看到相關的記錄當然此時的事件記錄是非常多的我們可以通過篩選器進行篩選右鍵點擊左側的安全選擇篩選當前日志打開篩選窗口篩選器選項卡下進行篩選設置因為我們要查看是拷貝的文件事件來源選擇就選擇SecurityAuditing任務類別選擇文件系統事件ID輸入所示然後確定退出這時候事件查看器右邊列出的就是每一次讀取數據的信息了雙擊每一項目可查看詳細信息注意帶有 Object Type: File 的項目才是對文件的訪問我們雙擊打開就可以看到hacker用戶就fr文件夾進行的拷貝操作 (圖)

  

  總結本文只以文件監控為例演示了Vista審核功能在系統安全方面的應用其實它的應用是非常廣泛的不過其使用方法類似一般是先啟用想要的審核策略然後通過事件查看器進行查看當然靈活應用篩選器可以幫助我們快速定位到我們需要查看的項目


From:http://tw.wingwit.com/Article/os/xtgl/201311/8632.html
    推薦文章
    Copyright © 2005-2013 電腦知識網 Computer Knowledge   All rights reserved.